برامج الفدية الضارة كخدمة: الوجه الجديد للجرائم الإلكترونية الصناعية

سهّلت برامج الفدية كنموذج خدمة عملية تحسين وتصنيع سريعة لما يمكن للمجرمين الأقل قدرة إنجازه. في الماضي، ربما استخدم هؤلاء المجرمون الأقل تطوراً برمجيات خبيثة أنشئوها أو اشتروها لتنفيذ هجمات محدودة النطاق لكن يمكنهم الآن الحصول على كل ما يحتاجون إليه - بدءاً من الوصول إلى الشبكات إلى حمولات برامج الفدية - من مشغلي RaaS (للسعر طبعاً). تتضمن العديد من برامج RaaS أيضاً مجموعة من عروض دعم الابتزاز، بما في ذلك استضافة موقع التسريب والتكامل في ملاحظات الفدية، بالإضافة إلى التفاوض على فك التشفير، وضغط الدفع، وخدمات معاملات العملة المشفرة.

يعني هذا أن تأثير هجوم الفدية والابتزاز الناجح يظل كما هو بغض النظر عن مهارات المهاجم.

إحدى الطرق التي يقدم بها مشغلو RaaS القيمة للشركات التابعة لهم هي توفير الوصول إلى الشبكات المخترقة. يفحص وسطاء الوصول الإنترنت بحثاً عن الأنظمة الضعيفة، والتي يمكنهم اختراقها والاحتفاظ بها لتحقيق ربح لاحقاً.

لكي ينجحوا، يحتاج المهاجمون إلى بيانات اعتماد. بيانات الاعتماد المخترقة مهمة جداً لهذه الهجمات، لدرجة أنه عندما يبيع مجرمو الإنترنت إمكانية الوصول إلى الشبكة، في كثير من الحالات، يتضمن السعر حساب مسؤول مضموناً.

إن ما يفعله المجرمون بوصولهم بمجرد تحقيقه يمكن أن يختلف بشكل كبير اعتماداً على المجموعات وأعباء عملها أو دوافعها. وبالتالي يمكن أن يتراوح الوقت بين الوصول الأولي إلى النشر العملي للوحة المفاتيح من دقائق إلى أيام أو أكثر لكن عندما تسمح الظروف بذلك، يمكن إلحاق الضرر بسرعة فائقة. في الواقع، لوحظ أن الوقت المنقضي منذ الوصول الأولي إلى الفدية الكاملة (بما في ذلك التسليم من وسيط الوصول إلى إحدى الشركات التابعة لـ RaaS) يستغرق أقل من ساعة.

بمجرد أن يتمكن المهاجمون من الوصول إلى الشبكة، فإنهم يكرهون المغادرة، حتى بعد تحصيل فديتهم. في الواقع، قد لا يؤدي دفع الفدية الضارة إلى تقليل المخاطر التي تتعرض لها الشبكة المتأثرة، ومن المحتمل أن يؤدي فقط إلى تمويل مجرمي الإنترنت، الذين سيستمرون في محاولة تحقيق الدخل من الهجمات باستخدام برامج ضارة أو حمولات مختلفة من برامج الفدية حتى تُبعد.

إن عمليات التسليم التي تحدث بين مهاجمين مختلفين مع حدوث التحولات في اقتصاد الجرائم الإلكترونية تعني أن مجموعات الأنشطة المتعددة قد تستمر في بيئة تستخدم أساليب مختلفة تختلف عن الأدوات المستخدمة في هجوم برامج الفدية الضارة. على سبيل المثال، يؤدي الوصول الأولي الذي اكتسبه حصان طروادة المصرفي إلى نشر Cobalt Strike، لكن الشركة التابعة لـ RaaS التي اشترت الوصول قد تختار استخدام أداة وصول عن بعد مثل TeamViewer لتشغيل حملتها.

استخدام الأدوات والإعدادات المشروعة للاستمرار مقابل عمليات زرع البرامج الضارة مثل Cobalt Strike أسلوب شائع بين مهاجمي برامج الفدية لتجنب اكتشافهم والبقاء متواجدين في الشبكة لفترة أطول.

أسلوب المهاجم الشائع الآخر هو إنشاء حسابات مستخدمين مستترين جديدة، سواء كانت محلية أو في Active Directory، والتي يمكن بعد ذلك إضافتها إلى أدوات الوصول عن بعد مثل الشبكة الافتراضية الخاصة (VPN) أو سطح المكتب البعيد. لوحظ أيضاً أن مهاجمي برامج الفدية يحررون الإعدادات على الأنظمة لتمكين سطح المكتب البعيد وتقليل أمان البروتوكول وإضافة مستخدمين جدد إلى مجموعة مستخدمي سطح المكتب البعيد.

إحدى صفات RaaS التي تجعل التهديد مثيرا للقلق هو كيفية اعتماده على مهاجمين بشريين يمكنهم اتخاذ قرارات مستنيرة ومحسوبة وتغيير أنماط الهجوم بناءً على ما يجدونه في الشبكات التي يهبطون فيها، مما يضمن تحقيق أهدافهم.

صاغت شركة Microsoft مصطلح برامج الفدية الضارة التي يديرها الإنسان لتعريف هذه الفئة من الهجمات باعتبارها سلسلة من الأنشطة تبلغ ذروتها في حمولة برامج الفدية، وليس كمجموعة من حمولات البرامج الضارة التي سيتم حظرها.

في حين أن معظم حملات الوصول الأولية تعتمد على الاستطلاع الآلي، بمجرد أن يتحول الهجوم إلى مرحلة التدريب العملي على لوحة المفاتيح، سيستخدم المهاجمون معرفتهم ومهاراتهم لمحاولة هزيمة المنتجات الأمنية في البيئة.

يتخذ مهاجمي برامج الفدية الضارة من عامل سهولة الربح حافزاً لهم لشن هجماتهم، لذا فإن زيادة التكلفة عن طريق تعزيز الأمان يلعب دوراً أساسياً في زعزعة اقتصاد الجرائم الإلكترونية. يعني اتخاذ القرار البشري هذا أنه حتى لو اكتشفت المنتجات الأمنية مراحل هجوم محددة، فإن المهاجمين أنفسهم لا يتم طردهم بالكامل؛ يحاولون الاستمرار إذا لم يتم حظرهم بواسطة سيطرة أمنية. في كثير من الحالات، إذا جرى اكتشاف أداة أو حمولة وحظرها بواسطة منتج مكافحة فيروسات، يحصل المهاجمون ببساطة على أداة مختلفة أو تعديل حمولتهم.

يدرك المهاجمون أيضاً أوقات استجابة مركز عمليات الأمان (SOC) وإمكانيات أدوات الكشف وقيودها. بحلول الوقت الذي يصل فيه الهجوم إلى مرحلة حذف النسخ الاحتياطية أو النسخ الاحتياطية، سيكون على بعد دقائق من نشر برامج الفدية. من المحتمل أن يكون الخصم قد نفذ بالفعل بإجراءات ضارة مثل سرقة البيانات. هذه المعرفة أساسية بالنسبة لمراكز عمليات الأمان التي تستجيب لبرامج الفدية الضارة: التحقيق في الاكتشافات مثل Cobalt Strike قبل مرحلة نشر برامج الفدية وتنفيذ إجراءات المعالجة السريعة وإجراءات الاستجابة للحوادث (IR) أمر بالغ الأهمية لاحتواء الخصم البشري.